none
Службы удаленных рабочих столов. Проблема с применением политик ie 11 RRS feed

  • Вопрос

  • Добрый день! Развернуты службы удаленных рабочих столов на win 2012 r2, в которой 4 сервера узлов сеансов, все 4 сервера настроены одинаково, установлены последние обновления на все сервера коллекции. На одном из 4 серверов возникает проблема с применением политик ie, политики применяются не правильно: например в свойствах обозревателя не отображаются содержимое зон. Хотя если посмотреть в реестре ветку HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains - там все в порядке, назначение для зон отрабатываются.

    Так же при открытии ярлыков (используются перемещаемые профиля) появляется окно с предупреждением безопасности.

    И эта проблема только на одном сервере.

    sfc /scannow не обнаруживает нарушения целостности файлов. В оснастке результирующей политике нет ошибок применения политик.

    Подскажите как решить эту проблему?



    • Изменено viktor_k 20 июля 2015 г. 11:39
    20 июля 2015 г. 11:26

Ответы

  • Нашел причину, в Policy Definitions был устаревший шаблон для ie, после его обновления до актуального проблема не возникает. Странно конечно что проблема была только на одном сервере фермы.
    • Помечено в качестве ответа viktor_k 4 августа 2015 г. 3:26
    • Изменено viktor_k 4 августа 2015 г. 3:28
    4 августа 2015 г. 3:26

Все ответы

  • Добрый день!

    Добавьте в надежный узлы то место, где хранится ярлык (\\...)

    20 июля 2015 г. 11:48
  • Добавлен, на других серверах коллекции отрабатывается
    20 июля 2015 г. 11:52
  • Добавляется средствами GPO?

    Попробуйте руками явно добавить для проверки.

    20 июля 2015 г. 11:55
  • Добавлено политиками, если добавлять политиками, то нет возможности редактировать зоны. Вот так например выглядит окно с надежными сайтами на сервере где проблем нет:

    и вот так на проблемном:

    На скринах разные зоны, но суть та же, на проблемном сервере в отображении зон пусто

    Я попробую добавить исключения в wmi фильтр, чтобы политики ie не применялись на проблемный сервер, и добавлю руками сервер в доверенные зоны. Напишу о результатах


    • Изменено viktor_k 20 июля 2015 г. 12:07
    20 июля 2015 г. 12:05
  • Да, не отрабатывает GPO.

    Если gpresult говорит, что всё применилось, то 

    логи на проблемном сервере показывают что-нибудь?

    20 июля 2015 г. 12:08
  • Попробовал отключить применение политик ie для проблемного сервера и добавить сервер на котором размещены перемещаемые профиля в доверенные узлы - все работает, окна с предупреждением нет. В зонах отображается то что добавил руками. С включенными политиками ie в логах ничего подозрительного
    21 июля 2015 г. 6:56
  •  странно.. всё работает, ошибок нет, а гпо не применяется. что-то де не так. ещё раз gprresult. может под каким-то пользователем политика не применяется? 

    пока идей нет, может еще кто-то подскажет.

    21 июля 2015 г. 11:24
  • GPO ie на самом деле применяется но частично, в реестре пользователя например есть записи о зонах, но по факту получается то что получается. 
    23 июля 2015 г. 11:49
  • Проверьте, что запускается IE той же разрядности и в том же режиме ESC

    Сазонов Илья

    https://isazonov.wordpress.com/

    23 июля 2015 г. 12:07
    Модератор
  • сделал такой эксперимент:

    1.отключил политики ie

    2. авторизуюсь пользователем, добавляю какой нибудь сайт в надежные узлы. Этот сайт отображается в окне с надежными узлами

    3. импортирую пользователю reg файл c таким содержимым:

    Windows Registry Editor Version 5.00

    [HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\alfabank.ru]

    [HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\alfabank.ru\ibank]
    "https"=dword:00000002

    [HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMapKey]
    "https://ibank.alfabank.ru"="2"

    Открываю свойства браузера - безопасность - надежные узлы - там пусто и нет возможности добавить что то. Перехожу на сайт ibank.alfabank.ru, захожу в свойства страницы - там зона "Интернет", т.е не отрабатывается.

    23 июля 2015 г. 12:08
  • Можете использовать ключ:

    HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Internet
    Settings/ZoneMap/Domains/


    Сазонов Илья

    https://isazonov.wordpress.com/

    24 июля 2015 г. 5:34
    Модератор
  • попробовал добавить в HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Internet 
    Settings/ZoneMap/Domains/ через reg файл  - такая же реакция: в окне просмотра сайтов зоны пусто и нет возможности добавлять сайты, при переходе на добавленный  в "надежные сайты" через reg файл сайт - в свойствах страницы так же видно что не отработалась запись из реестра - там так же "зона интернет"




    • Изменено viktor_k 29 июля 2015 г. 6:43
    29 июля 2015 г. 6:39
  • Блокировка это признак действия политики - её надо убрать. А если ключи реестра правильные, то значения сразу отобразяться в IE.

    Сазонов Илья

    https://isazonov.wordpress.com/

    31 июля 2015 г. 7:20
    Модератор
  • попробуйте настройки ИЕ скинуть на дефолт с удалением всего (поставить галки удаления пользовательских данных), перезапустить ИЕ и посмотреть зоны

    The opinion expressed by me is not an official position of Microsoft

    31 июля 2015 г. 8:34
    Модератор
  • сброс настроек помогает, до следующего входа/применения политик пользователя
    4 августа 2015 г. 3:24
  • Нашел причину, в Policy Definitions был устаревший шаблон для ie, после его обновления до актуального проблема не возникает. Странно конечно что проблема была только на одном сервере фермы.
    • Помечено в качестве ответа viktor_k 4 августа 2015 г. 3:26
    • Изменено viktor_k 4 августа 2015 г. 3:28
    4 августа 2015 г. 3:26